Часто задаваемые вопросы по Oracle Audit Vault and Database Firewall

Общие вопросы

Что нового в Oracle Audit Vault and Database Firewall?

У Oracle Audit Vault and Database Firewall (AVDF) 20 обновленный, современный пользовательский интерфейс с упрощенной навигацией для типичных рабочих процессов. Коллекция аудитов расширена и охватывает новые типы целевых объектов. Возможности Oracle Audit Vault and Database Firewall теперь выходят за рамки мониторинга активности базы данных, позволяя управлять статусом безопасности Вашего экземпляра Oracle Database. Лучшие в своем классе механизмы мониторинга, уже присутствующие в Oracle Database, дополняются возможностью наблюдения за конфигурациями безопасности, правами пользователей и хранимыми процедурами. AVDF осуществляет аудит баз данных и отслеживает сетевую активность, помогая управлять статусом безопасности баз данных Oracle и сторонних поставщиков, размещенных в облаке или локально. Полный список возможностей см. в примечаниях к выпуску AVDF 20.

Как связаны между собой Audit Vault и Database Firewall? Действительно ли мне нужны оба эти компонента?

AVDF поддерживает нативный сбор данных аудита и мониторинг сетевого SQL-трафика. Данные аудита и сетевые события из Database Firewall хранятся на сервере Oracle Audit Vault. Это позволяет сопоставлять данные об активности и создавать отчеты.

Oracle рекомендует использовать комплексный подход поддерживает аудит баз данных и мониторинг сетевого SQL-трафика. Вы можете начать с любого из компонентов, а затем при необходимости расширить свою архитектуру, чтобы включить их оба.

Какие типы и версии целевых объектов поддерживаются AVDF?

AVDF 20 поддерживает Oracle Database, Microsoft SQL Server, MySQL, IBM Db2, PostgreSQL, SAP Sybase, MongoDB и журналы операционных систем Linux, Windows, Solaris и AIX. AVDF также поддерживает журналы аудита, записанные в файлы в форматах XML, CSV и JSON. Вы можете использовать собственные сборщики данных для сбора журналов аудита и их отправки на сервер Audit Vault для всех остальных целевых объектов, где журналы аудита записываются в таблицы базы данных. Подробнее см. в матрице поддержки платформ в руководстве по установке AVDF 20.

Как AVDF консолидирует данные аудита из других источников, таких как приложения?

AVDF может собирать данные аудита из таблиц или файлов приложения (XML, JSON, CSV), сопоставлять их со стандартным форматом и включать их в один отчет по всем источникам. Подробнее см. в руководстве разработчика AVDF.

В чем разница между аудитом и сетевым мониторингом? Действительно ли мне нужны обе эти функции?

Аудит обычно заключается в фиксации подробной информации после определенного события, как непосредственно из инструкции SQL, так и посредством вызова хранимой процедуры. Мониторинг SQL-трафика позволяет анализировать инструкции SQL и принимать меры по отношению к ним, прежде чем они достигнут базы данных. Это дает возможность блокировать подозрительные инструкции. В обоих случаях Вы можете указать условия, при которых система должна вести сбор журналов аудита или событий. Обе функции позволяют получить разную картину для одного и того же события: одна до, другая после. По обеим этим картинам возможна генерация оповещений.

Oracle рекомендует использовать комплексный подход поддерживает аудит баз данных и мониторинг сетевого SQL-трафика. Клиенты могут начать с любой из функций, а затем расширить свою архитектуру, включив их обе.

Как подготавливать политики аудита и Database Firewall?

AVDF предоставляет интерфейс для просмотра Ваших политик аудита Oracle и их подготовки в целевой базе данных одним щелчком мыши. Что касается политики Database Firewall, при настройке точки мониторинга брандмауэра баз данных для целевого объекта автоматически применяется политика по умолчанию. Эта политика по умолчанию используется для всех целевых объектов, контролируемых брандмауэром баз данных. Она предполагает регистрацию всех входов в систему и выходов из нее, а также уникальных инструкций DDL и DCL в разных сеансах для всех таблиц и представлений. Также можно настроить в пользовательском интерфейсе собственные политики Database Firewall, чтобы разрешать, регистрировать, заменять или блокировать инструкции SQL, а также отправлять соответствующие оповещения. Кроме того, можно настроить политики брандмауэра для экземпляров Oracle Database, чтобы фиксировать возвращаемое инструкцией SQL SELECT число строк и использовать эти данные для мониторинга и оповещения о попытках эксфильтрации данных. Подробнее см. в руководстве аудитора.

Какие существуют способы мониторинга трафика баз данных?

Вы можете настроить Database Firewall для мониторинга и блокирования или только для мониторинга. Для мониторинга и блокировки необходимо настроить брандмауэр в режиме прокси, чтобы весь трафик баз данных проходил через Database Firewall. Для сетевого мониторинга SQL-трафика можно настроить порт SPAN сетевых коммутаторов так, чтобы они отправляли трафик на Database Firewall, или настроить монитор хоста на компьютерах с базами данных так, чтобы он перенаправлял SQL-трафик на Database Firewall. Подробнее см. в руководстве администратора.

Можно ли получить единый отчет и с данными аудита, и с сетевым журналами?

Сервер Audit Vault консолидирует данные аудита и сетевой SQL-трафик, создавая единое представление всей активности базы данных из журналов аудита и зафиксированного SQL-трафика. Оповещения и отчеты создаются на основе консолидированных данных.

Можно ли соотносить активность ОС с активностью баз данных, чтобы получить полную картину?

Да, AVDF предоставляет отчет, в котором содержатся сведения о событиях базы данных, соотнесенных с пользователем ОС Linux до перехода SU или SUDO.

Ключевые сценарии использования

Может ли AVDF оценивать состояние безопасности баз данных?

AVDF 20.9 предоставляет централизованное решение оценки безопасности для предприятий на уровне парка за счет интеграции популярного средства оценки безопасности для Oracle Database — Database Security Assessment Tool (DBSAT). Полномасштабная оценка с отсылками к нормативным требованиям и рекомендациями дает четкое представление о состоянии безопасности всех экземпляров Oracle Database предприятия. Подробнее можно прочитать здесь.

Может ли AVDF обнаруживать конфиденциальные данные?

Начиная с AVDF 20.9 пользователи могут обнаруживать конфиденциальные данные и привилегированных пользователей в экземплярах Oracle Database. В AVDF 20 возможность определения прав пользователей расширена, и DBSAT выявляет привилегированных пользователей и конфиденциальные объекты в Oracle Database. Это достигается путем планирования и выполнения заданий по обнаружению прав пользователей и конфиденциальных объектов. После обнаружения привилегированных пользователей и конфиденциальных объектов они могут быть добавлены в наборы привилегированных пользователей и конфиденциальных объектов соответственно. Эти наборы являются глобальными и могут использоваться в нескольких политиках брандмауэра баз данных.

Как AVDF помогает выполнять требования к отчетности по соответствию?

В AVDF предусмотрены встроенные отчеты о соответствии нормам GDPR, PCI, GLBA, HIPAA, IRS 1075, SOX и UK DPA. Например, для оценки соответствия GDPR мы предоставляем отчеты о том, у кого есть доступ к Вашим конфиденциальным данным, а также кто осуществляет доступ к Вашим конфиденциальным данным. Вы можете настраивать отчеты в соответствии с конкретными задачами или отраслевыми/региональными требованиями. К схеме Audit Vault также могут подключаться сторонние средства отчетности для анализа и создания отчетов.

Может ли AVDF проводить аудит и отслеживать действия привилегированных пользователей?

Вы можете включить политики аудита для активности администраторов и именованных пользователей. В AVDF есть готовые отчеты, в том числе отчеты по привилегированным пользователям, в которых отражается вся зафиксированная активность привилегированных пользователей.

Помогает ли AVDF расследовать злоупотребления или несанкционированный доступ?

Пользователи AVDF могут использовать отчет по всей активности для анализа того, каким объектам осуществлялся доступ. AVDF может фильтровать данные по пользователю, объекту, датам и т. д., а также анализировать полученный результат, чтобы определить, осуществляли ли к объектам доступ неуполномоченные пользователи. Кроме того, пользователи экземпляров Oracle Database могут использовать возвращенные инструкциями SQL SELECT строки для расследования попыток эксфильтрации данных.

Может ли AVDF помочь в отслеживании изменений пользователей, ролей, полномочий и прав?

AVDF можно настроить для проверки прав в отношении экземпляров Oracle Database по заданному расписанию и предоставления дифференциальной отчетности о том, что изменилось с момента последнего отчета. AVDF выявляет изменения в пользователях, ролях и полномочиях.

Как получение значений «до/после» помогает обеспечить безопасность и соответствие нормам?

Политики и правила корпоративной безопасности, такие как HIPAA, требуют аудита изменений, вносимых в конфиденциальные данные, и фиксации значений «до» и «после» записи. AVDF фиксирует значения «до/после», используя интегрированный процесс извлечения Oracle GoldenGate (ограниченная лицензия на этот продукт входит в комплект) и включает их в отчеты AVDF для анализа. Подробнее см. в руководстве администратора и руководстве аудитора AVDF.

Можно ли использовать AVDF в сочетании с инициативами мониторинга активности баз данных (DAM) и SIM/SIEM?

AVDF — это решение DAM, обеспечивающее нативный сбор данных аудита и мониторинг сетевого SQL-трафика. AVDF поддерживает оповещения, отчеты и архивирование данных аудита. AVDF может отправлять события на сервер syslog для интеграции с системами SIEM. Схема репозитория AVDF документирована, и SIEM или агрегаторы журналов могут запрашивать его, что позволяет легко интегрировать AVDF с большинством сторонних SIEM/анализаторов журналов.

Безопасность

Обеспечивает ли Oracle Database Firewall мониторинг зашифрованного трафика целевых объектов?

Oracle Database Firewall отслеживает трафик в экземпляр Oracle Database и из него, когда используется нативное сетевое шифрование Oracle или сетевое шифрование TLS. Что касается баз данных других поставщиков, в которых не используется сетевое шифрование TLS, такой SQL-трафик Database Firewall интерпретировать не может. Вы можете использовать решения терминирования SSL или TLS для терминации SQL-трафика непосредственно перед тем, как он достигнет Database Firewall, чтобы Database Firewall мог интерпретировать SQL-трафик и применить политики.

Как защищены данные, хранящиеся в AVDF?

AVDF шифрует собранные данные с использованием прозрачного шифрования данных, а также шифрует сетевой трафик с целевых объектов. AVDF обеспечивает разделение обязанностей между администратором и аудитором и использует Database Vault для ограничения доступа к данным. Подробнее см. в разделе General Security Guidelines в руководстве администратора AVDF.

Может ли AVDF работать с Microsoft Active Directory для аутентификации?

AVDF 20 поддерживает интеграцию с Microsoft Active Directory для проверки подлинности пользователей. Вы также можете создавать администраторов/аудиторов AVDF в качестве пользователей Microsoft Active Directory. Подробнее см. в руководстве администратора AVDF.

Корпоративные возможности

Как происходит масштабирование AVDF при большом количестве целевых объектов или большом объеме данных аудита/журналов?

При настройке в соответствии с рекомендациями по размеру сервер Audit Vault может поддерживать сбор данных о событиях AVDF в объеме до 1000 журналов аудита, и каждый агент может поддерживать до 20 журналов аудита. Рекомендации по размеру см. в разделе Audit Vault and Database Firewall Best Practices and Sizing Calculator (примечание 2092683.1 на MOS) в руководстве по установке. Вы можете определить объем ресурсов ЦП, памяти и дискового пространства, необходимый для сервера Audit Vault, агента Audit Vault и Database Firewall в соответствии с Вашей средой. Для получения рекомендаций по размеру необходимо указать количество целевых объектов, средний объем генерируемых в день данных аудита, период хранения, количество целевых объектов брандмауэра и другую информацию.

Может ли AVDF обрабатывать высокую нагрузку, характерную для Oracle Exadata и других кластеризованных баз данных?

AVDF может масштабироваться для поддержки сбора данных аудита из Oracle Exadata и других кластеризованных баз данных. Вы можете настроить количество агентов в соответствии с общим количеством целевых объектов и ожидаемым темпом поступления данных аудита. В AVDF 20.5 (и более поздних версий) агенты Audit Vault автоматически выбирают оптимальную конфигурацию для повышения скорости сбора данных аудита. Этот динамическая многопотоковая функциональность сбора данных сборщика эффективно использует ресурсы сервера Audit Vault и агента Audit Vault. Подробнее см. в разделе Registering Targets в руководстве администратора.

Поддерживает ли AVDF облачные целевые объекты в дополнение к локальным?

AVDF может вести мониторинг целевых объектов, развернутых локально и в Oracle Cloud, включая сервисы Oracle Autonomous Database. Сервер Audit Vault собирает данные для традиционных журналов аудита, детализированных аудитов, аудитов Database Vault и объединенных аудитов из журналов аудита в облачных или локальных базах данных. Подробнее см. в разделе Oracle Audit Vault And Database Firewall Hybrid Cloud Deployment в руководстве администратора.

Как AVDF поддерживает высокую доступность для отказоустойчивости?

AVDF поддерживает высокодоступные конфигурации для всех компонентов AVDF, включая сервер Audit Vault, Database Firewall и агент Audit Vault. Подробнее см. в руководстве администратора.

Может ли AVDF архивировать данные аудита/журналов для соответствия нормативным требованиям по срокам хранения?

Сервер Audit Vault поддерживает политики хранения данных по целевым объектам, что позволяет обеспечить соответствие как внутренним, так и внешним требованиям. Данные аудита могут автоматически архивироваться в недорогом внешнем репозитории и извлекаться оттуда в соответствии с политикой для данного целевого объекта. Подробнее см. в руководстве администратора.

Может ли AVDF генерировать оповещения об аномальной активности для минимизации времени анализа?

В AVDF есть мощный конструктор оповещений, который позволяет настраивать оповещения по собранным данным аудита и брандмауэра на основе различных условий. AVDF может выводить оповещения на инфопанель, отправлять их по электронной почте или отправлять на сервер syslog.

Как AVDF интегрируется с продуктами безопасности Oracle, такими как Oracle Key Vault, Oracle Database Vault и Oracle Database Security Assessment Tool?

AVDF может считывать и отображать в отчетах AVDF данные из журнала аудита Database Vault. Oracle Key Vault можно добавить в AVDF в качестве целевого объекта. AVDF будет собирать данные аудита из Oracle Key Vault и генерировать отчеты обо всей активности в AVDF. Начиная с AVDF Update 9 с механизмами оценки безопасности и обнаружения конфиденциальных данных AVDF интегрируется DBSAT, что позволяет оценивать состояние безопасности экземпляров Oracle Database и обнаруживать конфиденциальные данные в экземплярах Oracle Database в масштабах всего парка.

Может ли Oracle Enterprise Manager управлять AVDF?

Подключаемый модуль AVDF в Enterprise Manager предоставляет интерфейс в Oracle Enterprise Manager Cloud Control, с помощью которого администраторы могут управлять компонентами AVDF и осуществлять их мониторинг. Полную информацию см. в руководстве пользователя подключаемого модуля мониторинга системы для Audit Vault и Database Firewall. Чтобы узнать, какие версии Oracle Enterprise Manager поддерживают работу с AVDF 20, см. матрицу совместимости с Oracle Enterprise Manager.

Развертывание

На каком оборудовании или виртуальных машинах можно запускать AVDF? Как определить необходимый объем ресурсов?

Для развертывания компонентов AVDF можно использовать любую 64-разрядную аппаратную платформу Intel x86, поддерживаемую Oracle Linux Release 8. Полный список оборудования см. в списке сертифицированного оборудования. Каждый сервер Audit Vault и Database Firewall должны быть установлены на выделенном 64-разрядном сервере с процессором x86. См. раздел 2.2.1 Product Compatibility Matrix в руководстве по установке.

Кроме того, AVDF можно развернуть в Oracle Cloud Infrastructure (OCI) из Oracle Cloud Marketplace. Используя образ с Marketplace, развернуть полностью функционирующую систему AVDF можно за несколько минут. Oracle Cloud обеспечивает гибкое масштабирование вычислительных ресурсов в соответствии с растущими потребностями. Простота масштабирования дает возможность начать с небольшой конфигурации ВМ и увеличивать ее по мере увеличения рабочей нагрузки.

Рекомендации по размеру см. в разделе Audit Vault and Database Firewall Best Practices and Sizing Calculator (примечание 2092683.1 на MOS) в руководстве по установке. Вы можете определить объем ресурсов ЦП, памяти и дискового пространства, необходимый для сервера Audit Vault, агента Audit Vault и Database Firewall в соответствии с Вашей средой. Для получения рекомендаций по размеру необходимо указать количество целевых объектов, средний объем генерируемых в день данных аудита, период хранения, количество целевых объектов брандмауэра и другую информацию.

Хотя AVDF можно запускать в виртуализированных средах, таких как Oracle VM Server или VMware, рекомендуется устанавливать это решение на физическое оборудование.

Сколько времени занимает установка/развертывание AVDF? Требуется ли помощь консультанта?

Как правило, получение работающего прототипа занимает от двух дней до двух недель, в зависимости от количества целевых объектов и политик. Развертывание состоит из трех основных шагов:

1. Установка сервера Audit Vault и, если необходимо, Database Firewall на выбранных серверах: весь процесс с использованием образа ISO довольно прост и может быть выполнен за несколько часов. При развертывании AVDF из Oracle Cloud Marketplace в области аренды OCI система может быть готова к работе всего за несколько минут.

2. Включение или создание соответствующих политик аудита или мониторинга на целевом объекте или Database Firewall: создавать политики по умолчанию в AVDF можно в несколько щелчков мыши. Однако в зависимости от сценария использования это может занять больше времени.

3. Анализ отчетов и оповещений: в AVDF предусмотрено несколько десятков готовых отчетов, и их можно дополнительно настраивать в соответствии с нормативными требованиями или требованиями безопасности.

После выхода на рабочий прототип обычно потребуется потратить еще некоторое время на настройку резервного копирования, архивации, высокой доступности и т. д. с помощью консоли AVDF. Также Вы можете добавить сборщики для своих приложений, используя структуру пользовательских сборщиков.

Многие из наших клиентов внедрили AVDF, не прибегая к услугам консультантов.

Перед установкой обратитесь к контрольному списку установки в руководстве по установке и воспользуйтесь электронной таблицей определения размера (примечание 2092683.1 на MOS) для определения соответствующей конфигурации оборудования.

Как в AVDF минимизируется время развертывания и обновления?

AVDF — это полностековое программное устройство, которое включает в себя операционную систему Oracle Linux, СУБД Oracle Database и ПО AVDF, что упрощает развертывание и обновление всех компонентов одновременно. После применения исправлений или обновлений сервера Audit Vault агенты загружаются и обновляются автоматически, что сводит к минимуму время развертывания и обновления.

Также можно использовать для обновления Oracle Audit Vault and Database Firewall до нового выпуска функциональность резервного копирования и восстановления; в этом случае перерыв в мониторинге и сборе данных будет минимальным. Этот процесс можно использовать для обновления с Oracle AVDF 20.3 и более поздних версий до выпуска 20.9 и более поздних версий. Подробнее об этом можно прочитать здесь.

Какова политика поддержки Oracle при установке дополнительного или стороннего программного обеспечения в AVDF?

Oracle Audit Vault and Database Firewall (AVDF) поставляется как устройство, и устанавливать на сервере Audit Vault стороннее программное обеспечение не следует. Подробнее см. в руководстве по концепциям AVDF.

Обновление

В настоящее время мы используем AVDF 12.2. Почему нам стоит перейти на AVDF 20?

Перейти на AVDF 20 имеет смысл по следующим причинам. Во-первых, поддержка Premier Support для AVDF 12.2 была прекращена в марте 2021 г. Это означает, что Oracle больше не выпускает периодические исправления системы безопасности для этого продукта. Но, что еще более важно, в последней версия AVDF есть следующие новые функции и возможности:

  • Увеличенная производительность администрирования/аудита благодаря совершенно новому, модернизированному пользовательскому интерфейсу, оптимизированному для различных рабочих процессов.
  • Поддержка объединенного аудита, что важно для клиентов которые хотят перейти от традиционного аудита к объединенному.
  • Упрощенное конфигурирование параметров Database Firewall по сравнению с предыдущими версиями.
  • Новые целевые объекты, такие как PostgreSQL, MongoDB (с использованием простой таблицы сопоставления атрибутов) и Oracle Cloud Autonomous Database.
  • Расширенная поддержка пользовательских сборщиков для включения JSON, REST и CSV.
  • Сбор значений «до/после» измененных записей с использованием интегрированного процесса извлечения Oracle GoldenGate (ограниченная лицензия на этот продукт входит в комплект), поддерживающего многопользовательские конфигурации Oracle Database.
  • Интеграция с Microsoft Active Directory, облегчающая централизованное управление пользователями AVDF.
  • Автоматическое архивирование данных аудита/сетевых событий с сервера Audit Vault.
  • Совместимость с FIPS 140-2 для встроенной базы данных и операционных систем.
  • Возможность развертывания AVDF локально или в Oracle Cloud. Руководство по технической реализации безопасности (STIG) для политики объединенного аудита, используемой на целевых экземплярах Oracle Database.
  • Упрощенное централизованное представление оценок конфигурации безопасности для всех экземпляров Oracle Database в парке организации, с возможностью управления статусом безопасности баз данных.
  • Список основных новых функций и усовершенствований в AVDF 20 и более поздних обновлениях можно найти здесь. Если Вы хотите увидеть эти функции в действии, зарегистрируйтесь для участия в семинаре LiveLabs здесь.

Какие версии AVDF можно обновить до AVDF 20?

До AVDF 20 можно обновлять AVDF версии 12.2.0.9.0 и выше. Если Вы используете версию ниже 12.2 с единым пакетом исправлений 9, сначала обновите ее. Подробнее см. в руководстве по установке AVDF.

Будут ли при обновлении перенесены зарегистрированные в данный момент целевые объекты, настроенные отчеты и архивные данные?

После обновления текущие зарегистрированные целевые объекты, настроенные отчеты и архивные данные будут автоматически перенесены в AVDF 20.

Дополнительная информация

Как начать использовать AVDF? Какие ресурсы в помощь нам доступны?

Посетите веб-сайт Oracle Technology Network, чтобы узнать больше о продукте, получить доступ к кратким техническим обзорам, информационным сводкам и другим материалам или связаться с представителем Oracle в своем регионе.

Где можно загрузить программное обеспечение AVDF и документацию по продукту?

AVDF можно загрузить из Oracle Software Delivery Cloud. Ищите комплект продуктов Oracle Audit Vault and Database Firewall. Кроме того, AVDF можно развертывать в Oracle Cloud. Перейдите в Oracle Cloud Marketplace и найдите Oracle Audit Vault and Database Firewall.

Документация по продукту доступна здесь.

Существует ли внешний дискуссионный форум?

Да, на форуме Oracle Audit Vault and Database Firewall можно получить ответы на вопросы по продуктам от экспертов сообщества Oracle.